O Martes 05 Maio 2009 18:03:01 Camaleón escribiu:
El 2009-05-05 a las 16:57 +0200, Karl García Gestido escribió:
O Martes 05 Maio 2009 16:17:18 Camaleón escribiu:
(...) Pero esa configuración no es culpa de windows sino de quien lo configura así. El windowsito de fábrica no hace esas cosas :-) El sistema de control de acceso es una cosa y el modelo de gestión de privilegios es otra distinta :)
Además, el que usan todos esos usuarios que dices es adivina cual :P
Además, no vale de nada una cuenta de administración con clave si el usuario puede acceder al núcleo.
El usuario "raso" no debe tener acceso al núcleo. Ya te he dicho que eso se llama "escala de privilegios" y es un bug que no viene de serie :-) A ver, que aún no lo ves. Windows, da igual la versión que contemples, no implementa correctamente el control de capas. Una aplicación de usuario puede hacer uso de servicios del núcleo, sin necesidad de utilizar el sistema que debería actuar de capa intermediaria. En realidad, parte de su éxito estriva en esta curiosa cualidad, aunque en las versiones de 16 bits era más escandaloso.
Por otra parte, para imitar la espectacularidad de los Amiga y los Mac, el sistema no pone límites a lo que se puede hacer. Aunque los ejecutables deben de ser archivos .exe, .bat o .com (mientras que en los "Unix-Like" cualquier archivo que contenga código puede tener (y debe tener) permisos de ejecución (los del usuario, con la salvedad de las propiedades como SetUid que deben de ser fijadas por root), cualquier archivo puede tener código ejecutable... y ejecutarlo. Windows es un sistema que no dispone de recursos de seguridad. Lo que hay es un núcleo con un puñado de herramientas de sistema poco útiles y una auténtica pléyade de herramientas -muchas de terceros- para cubrir las carencias del sistema. Para procurar un mínimo de seguridad se disponen un montón de herramientas más o menos eficientes, prestando servicios que no forman parte del sistema y menos aún del núcleo. Incluso root, que tiene privilegios para todo con las herramientas del sistema, tiene sus limitaciones (bien que sean lógicas); el modelo de capas no sólo reduce los errores, sinó los daños que se derivan de tales errores. La mayoría de los exploiteds de GNU/Linux necesitan escalar; los de Windows, no. Es la diferencia.
Hay muchos servicios en linux que un usuario puede no querer tener activados (ssh, servidor de correo local, avahi...) y que se activan de manera predeterminada.
Pues sí ;-) En la mayoría de distros, no es así: en muchas, es al contrario: supongo que alguna habrá que lo haga.
(...) Ah, bueno. Pero es que tú das por hecho que todos los usuarios de windows son unos "pendejos". Si partes de esa premisa, obviamente no hay nada más que discutir. No. La mayoría son muy majos y pueden tener muchos motivos distintos para usar Windows. Que sea un Sistema Operativo Seguro no es uno de ellos. Es más complejo en Windows, porque es ajeno al diseño del sistema.
Ah, ahora dices que es más complejo... ¿en qué quedamos? >:-) Es lo que te digo más arriba. En Windows tienes que disponer un puñado de herramientas para prestar servicios que no provee el sistema. Dejo como ejercicio saber de donde toman los recursos para ejecutar lo que el sistema no permite. (...) Claro que no tienes alternativa si el código es cerrado. Yo no he dicho lo contrario. Tienes que saber que el código es cerrado, que pertenece a una empresa y que esa empresa sacará y publicará los parches que le venga en gana... como hacen todas las empresas de código cerrado. Usa software abierto. O software mejor, Solaris o Mac son mejores a cualquier nivel. Microsoft no es una excepción. Dinero, dinero, dinero...
Es divertido, si Suse trajese la mitad de burradas que Windows a Novell la quemamos con la directiva dentro xDD
También hay parches que no se publican en distribuciones de linux porque se han dejado de mantener por el motivo que sea: el mantenedor se ha ido y nadie se hace cargo del programa. El núcleo se actualiza. Las herramientas GNU (el sistema) se actualiza. Con eso basta. Si tu aplicación/servicio o lo que sea deja de tener soporte, tendrás que buscar otro.
Nada es perfecto ;-)
Las opciones del usuario linuxero tampoco son nada halagüeñas: o deja de usarlo o se arriesga a ver comprometido su sistema. No me gusta mucho la evolución acelerada, cosas como cambiar de xFree86 a Xorg, de KDE X a KDE X+1, etc. Pero ya dije que nada es perfecto :)
No discutimos las carencias de un sistema vulnerable como cualquier Unix, sinó que no es equiparable eso a la absoluta falta de seguridad del sistema Windows.
(...) ¿Ah, sí? Pues nada, que les siga yendo bien :-) Cada uno XD Mientras no salgan exploiteds para su sistema, sus versiones... allá cada uno :D (...) Si no hay exploit factible, ¿para qué parchear? >:-) Tiempo. No es lo mismo que puedan entrar en tu sistema (todo sistema es vulnerable por definición) que lo sencillo o difícil que sea hacerlo.
Un exploited puede llegar a escalar, en manos de alguien competente con mucho tiempo libre. Eso es muy distinto a un exploited que no necesite escalar.
(...)
Sí, claro, ya sé que sabes que windows es muy eficiente :-P Claro que lo es!! XD
(...) Mis razones, sí claro, que para soy yo quien administra ;-) Tú administras tu sistema :P (...) Que no lo sepan es su problema. Se llaman políticas y directivas de seguridad y de control de acceso. Y una cosa es que sean producto del sistema o del núcleo, y otra que sean herramientas externas. (...) Sólo impide las restricciones que quieras. Es muy flexible. y tanto!!!! XDD Los ataques al sistema se dan en "todos" los sistemas. Es más complejo hacerlo en unos que en otros. Y es una aplicación muy maja. No te metas con el Outlook :-P
Será maja, pero es una bomba de relojería. Debería prohibirse su uso XD
Mal administrado, sin parchearsí. Bien administrado y mantenido, no. Tienes que administrarlo!!! eso, para un cliente de correo, que no es nada más que eso, es deleznable XDD Otra cosa es que no te guste por los motivos que sean. Porque es un sistema muy malo? es un buen motivo, como otro cualquiera. Que a alguien le guste, bueno, cada uno a su gusto.
(...) Hay miles de errores posibles cuando escribes más de diez líneas... pero si el problema está en el diseño no hay nada que hacer!!!
Claro que sí, rediseñar o parchear. Igual que en linux. No se puede rediseñar algo de tamaño no trivial. Tampoco Linux. En Windows, se esconden los problemas y se reza, nada más. Es su política, y además es oficial.
En GNU/LInux se parchea. Unix no es un buen sistema, da demasiada importancia a los usuarios, pero es "usable"; Linux es un poco mejor, pero no mucho... bueno, cuando quieras desarrollamos el sistema operativo del futuro, en teoría debería ser sencillo XD
(...) Y pueden cargarse el disco XD
No, sólo hacer copias de seguridad :-) XDD
Eso sería un exploit de escalada de privilegios, en windows o en linux. Y eso sería un bug, tanto en windows como en linux.
En GNU/Linux un malware que no escale es inicuo; en Windows, no necesita escalar.
Para acceder donde no debe acceder, sí, necesita escalar o tener acceso. No. Accede a núcleo.
(...) Vete a una buena ferretería, que sea de buen acero y tenga un buen mango
¿No te gusta Leroy Merlin? Me refiero a que un buen martillo es un buen martillo ;-)
(...) Te permite "intentar atacar". Según tu teoría, todos los windows deberían estar infectados y actuar como zombies, pero, qué cosas, no lo están.
¿Por qué será? :-? Y acaso no lo están? XDD
Cuántos se calcula que pueden estar infectados, incluso en redes "organizadas"? Aun suponiendo que las empresas auditoras exageren, las cifras de las que hablan son de miedo. Espero que no más de un porcentaje mínimo sea cierto, pero aún así estamos hablando de muchos.
(...)
No es que se necesite mucho. Puedes colocar malware en cualquier lado y ya se ejecutará XD Si lo comparas con atacar un Unix...
No, sólo se ejecutará en sistemas no protegidos. Windows XD Para atacar a un unix sólo necesitas buscar el aplicativo correspondiente y un administrador o usuario un poco dejado. Comparativamente hablando, digamos muchas cosas... XDD
Eso dependerá el tipo de exploit. Si usa funciones comunes en todos los sistemas, pues podrá aprovecharlas.
bueno, desgraciadamente no las hay a ese nivel. Algunos podrían ser comunes, pero la mayoría no, y no es fácil saber a priori si lo pueden ser...
No las hay o no las conoces o no se encuentran fácilmente por la web. No es más que una cuestión de porcentaje de uso: menos uso = menos interés = menos exploits. Precisamente, no es fácil de saber para el que desarrolla el malware de turno, igual que para los desarrolladores de soluciones de software "común".
¿Y...? Cada núcleo tiene sus propias vulnerabilidades pero algunas son compartidas, es decir, que se dan en ambas versiones.
Sí... o no... La última vulnerabilidad del núcleo grave ¿a cuántas máquinas SUSE, Red Hat o Mandrake afectó?
A todas las que les afectara esa vulnerabilidad. Hay funciones genéricas en el kernel que se mantienen en todas las distribuciones (bug en los adaptadores de red de intel, pérdida de datos en ext4 en determinadas circunstancias...) A SuSE no, porque esa versión no se desplegó (en el cambio de versión se saltó esa y ya no traía el módulo explotable). En el resto lo más probable es que se diesen situaciones análogas. De hecho, se trató en las listas Debian.
Algunos usuarios que tenían en su momento ultimísimos núcleos puede que lo usasen, pero esos usuarios ya habrían puesto la siguiente en cuanto salió ;-) Como mucho alguien que actualizase hasta esa versión por algún dispositivo específico.... No sabía que ext4 se desplegase ya como versión probada y eso. Yo uso reiserfs, ext3 y xfs. Todos tienen sus límites, pero en mi sistema van muy bien. ah!! bug<>vulnerabilidad
Sí, por qué no. Anda que no hay parches para el kernel de linux, openbsd, solaris... :-)
Parches de seguridad para openBSD? :O pobrecillos, no los asustes .D http://es.wikipedia.org/wiki/Openbsd#Seguridad
Buuu :-)
Algunas hay, algunas hay...
OpenBSD Vulnerabilities http://www.securiteam.com/products/O/OpenBSD.html
Sun Solaris 10 Vulnerabilities http://www.securiteam.com/products/S/Sun_Solaris_10.html Compárese: http://www.securiteam.com/products/W/Windows_2003.html Por no hablar del tipo de vulnerabilidad: vulnerabilidad<>explotable
Busca sistemas más desplegados que el equivalente. Por ejemplo, posiblemente Solaris esté desplegado en más sitios "a atacar" que Windows 2003, de forma similar a que la mayoría de los grandes computadores usan Unix o GNU/Linux, con lo que son candidatos a ser explotados. Por cierto, la lista incluye las vulnerabilidades públicas. En el código cerrado, es difícil estimar cuántas hay realmente.
No creo. Sólo hace falta una buena recompensa (que se les pague bien) y ya tienes programadores intentando romper cositas (para windows, para linux, para unix...) :-)
se les pagará si con su trabajo se produce algún beneficio, digo yo XD
Claro, y no lo hay por el bajo porcentaje de uso :-) Si para enviar un puñado de spam necesitas tener una hora de hackers dia y noche durante mucho tiempo, por muy extendido que esté el sistema no será rentable. Léase "la mayoría de los problemas de seguridad del software moderno son los que son".
Karl te presento a Java, VM. Java, saluda a Karl :-)
Java "semi-compila" antes de interpretar. Eso está muy lejos de la total portabilidad. Además, pocos sistemas tienen toda la API para usar java de forma próxima al núcleo, si los hay. Si la montan con C++, imagina con Java.
Yo ya espero un bichito multiplataforma que aproveche la VM de java Yo no, me da miedo y urticaria. Sí es manía. Un amiguete (25 años de C) me dice que puede ir muy bien y muy rápido, pero no acabo de verlo.
Hace unos días hablamos aquí de Mono... es extraño, lo usé para no sé qué el otro día.. uf :S
El "cómo lo usa" suele determinar la elección de sistema. Es un hecho. Eso es otra idea preconcebida :-) Porque dices que es un hecho sin aportar pruebas de ese hecho. Vaya. Es lo que dicen ellos. Por qué dices que mienten?
"Cuídate de la persona de un sólo libro."
Al contrario. La gente que usa un solo libro usa Windows... porque no sabe que existen otros XD
Pues ya ves que no. No puedes generalizar. La mayoría, según ellos. No veo por qué iban a mentir. Yo cuando miento afirmo ser guapo, rico y muy listo y culto. Ya sé que no cuela, pero puestos a mentir... XD Yo he usado y uso windows y también estoy usando suse. Y ya me gustaría hincarle en diente a MacOS y a freebsd. Al solaris también.
Todos ellos, aún con sus bugs, son interesantes :-) openBSD mejor que FreeBSD. Para escritorio, tienes DesktopBSD y PC-BSB. Hay mucha gente encantados con ellos. Creo que es la PC-BSD que permite instalar paquetes "que incluyen todo lo que necesitan para ejecutarse", como un programa de terceros, paqutes PBI o algo así...
En mi caso particular, siempre (con openSolaris, FreeBSD, openBSD, PC-BSD, DesktopBSD) falla un dispositivo u otro. Todo se andará ;) Hay proyectos que tienen buena pinta.
Aún ese usuario sería muuuucho más difícil de explotar que un usuario promedio de Windows, incluso bien administrados.
Otra idea preconcebida :-P
Por?
Porque no demuestras empíricamente lo que afirmas. La afirmación empírica está en cualquier libro trivial de administración de sistemas. Por definición, es más difícil explotar un sistema que provea pocos recursos de seguridad que uno que no los provea en absoluto (a nivel sistema- núcleo). Puedes usar herramientas de seguridad en Windows, pero esas mismas herramientas son un peligro para la integridad del propio sistema XDD
Generalmente, la seguridad de muchos sistemas Unix o Windows está en que no son sistemas atacados XD.
(...) Ya... ¿y desde cuando compartir contraseña entre admin y user es una buena idea? >:-) La mala idea es no tenerla.
Y tenemos que gritarle mucho a la gente que sostiene que sí lo es, amparándose en que en la mayoría de sistemas de escritorio el administrador es el mismo que el usuario, lo que no veo por qué tiene que ser cierto (bien que sí serán la mayoría, es difícil esperar que sea una mayoría muy amplia. La mayoría de familias tiene uno o dos computadores y en muchos casos los usa todo el mundo de la casa :) ). Me congratula que SLED tiene "por defecto" no seleccionada esa opción; pero lo suyo sería no tener esa opción, incluso compararlas :) Además, la seguridad no es simplemente privacidad. No es quién ejecute un software dado, sinó si ese software puede acceder al núcleo o no puede hacerlo.
(...) Yo lo veo razonable. Hay cosas que no es tan sencillo como debiera, pero no le encuentro misterio alguno.
Misterio es cuando pensando que haces una cosa, sucede otra y dices "¡ostras, esto no es lo que quería hacer! Vale... ¿pero qué narices ha hecho?" Mi configuración es muy sencillita, puede que en sistemas más complejos sea más lioso, pero la interfaz, sin ser la mejor, no la veo complicada.
(...) Entonces me parece que el uso de linux se reduciría al 0,000009% del total X-) No hablo del usuario de Linux, sinó de cualquier sistema conectado a la red. Me parece muy bien que a la gente les dé igual que la gente les hurgue en el sistema, pero que de haí puedan derivarse daños a terceros, no. Flaco favor te haría si te atacasen desde mi equipo :D
Esto es un "deseo irreal". Sólo es una forma exagerada de decir que esperar que un buen sistema no requiera de saber algunas cosillas es absurdo. Y los sistemas operativos que se desarrollen en el futuro deberían tener esto en cuenta. Por supuesto, deberían ser desarrollados con la idea de seguridad bien metida en la cabeza.
Saludos,
-- Camaleón
-- O malo da relixión e a súa carenza de imaxinación -- karl